信息系統(tǒng)是現(xiàn)代企業(yè)不可缺少的重要技術(shù)設(shè)施,計算機則已經(jīng)成為了不可或缺的辦公及生產(chǎn)工具。數(shù)量眾多、應(yīng)用廣泛的計算機終端的維護和管理對于眾多企業(yè)都是一件難事。一方面,由于計算機病毒、木馬和蠕蟲的不斷出現(xiàn)、攻擊事件時有發(fā)生,終端系統(tǒng)必須經(jīng)常升級和更新配置,才能增強對這些安全威脅的抵抗。但終端使用者在計算機操作方面的專業(yè)素養(yǎng)參差不齊,再加上個人的安全知識、安全意識以及個人習(xí)慣的不同,往往難以獨立保證終端系統(tǒng)的安全運行。另一方面,企業(yè)制訂出符合業(yè)務(wù)安全標準的安全策略需要有比較豐富的安全管理實踐和深厚的安全技術(shù)基礎(chǔ)。即使企業(yè)制訂出了完善的安全策略,但是如果沒有合適的技術(shù)工具的配合,就難以保證每個終端都會快速準確地按照企業(yè)制訂的策略進行安全部署, IT 管理人員也難以實時跟蹤實施情況,導(dǎo)致安全策略難以有效執(zhí)行下去,安全策略成為一紙空文。
一些傳統(tǒng)的認證方式也可以達到一定的效果,但其存在的弊端制約了其在內(nèi)部網(wǎng)絡(luò)的發(fā)展。如傳統(tǒng)的PPPoE 認證系統(tǒng),認證過程需要把每個網(wǎng)絡(luò)包拆解,才能識別和判斷用戶的合法性。大量的拆包解包過程必然需要硬件配置較高的寬帶接入服務(wù)器來完成,伴隨而來的是網(wǎng)絡(luò)建設(shè)成本的上升。接入服務(wù)器拆封并轉(zhuǎn)發(fā)每個用戶的數(shù)據(jù)包,一旦用戶并發(fā)增多,還會造成網(wǎng)絡(luò)訪問的瓶頸。其他認證方式,如Web/Portal認證方式,雖然不需要特定的客戶端軟件,部署方便,同時可提供Portal 等增值業(yè)務(wù)。但缺點是其協(xié)議承載于應(yīng)用層,一般采用出口網(wǎng)關(guān)設(shè)備,對內(nèi)部網(wǎng)絡(luò)來說,存在安全隱患,如論壇中的過激言論或是IP 攻擊服務(wù)器等行為都無法追蹤源 。而基于端口的訪問控制協(xié)議認證,即802.1X 認證方式,在局域網(wǎng)接入設(shè)備的端口這一級對所接入的接入設(shè)備進行認證和控制。802.1X協(xié)議為二層協(xié)議,對設(shè)備的整體性能要求不高,可以有效降低網(wǎng)絡(luò)建設(shè)成本,采用“可控端口冶和“不可控端口冶的邏輯功能,從而可以實現(xiàn)業(yè)務(wù)流與認證流分離,有利于解決網(wǎng)絡(luò)瓶頸。
1、802.1X 協(xié)議
802.1X 協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議。“基于端口的網(wǎng)絡(luò)接入控制冶指的是對接入內(nèi)網(wǎng)的計算機、工程師站等網(wǎng)絡(luò)設(shè)備,在接入設(shè)備端口這一級進行網(wǎng)絡(luò)認證和控制。連接在接入設(shè)備端口上的用戶設(shè)備如果能通過網(wǎng)絡(luò)安全認證,就可以訪問網(wǎng)絡(luò);反之若不能通過認證,則無法接入網(wǎng)絡(luò),訪問網(wǎng)絡(luò)資源。
1.1 802.1X 的體系結(jié)構(gòu)
使用802.1X 的系統(tǒng),為典型的C/ S體系架構(gòu), 如圖1 所示分別為: Supplicant System(客戶端系統(tǒng))、Authenticator System(認證設(shè)備系統(tǒng)) 以及Authentication Server System(認證服務(wù)系統(tǒng))。
(1)客戶端系統(tǒng)是位于內(nèi)部網(wǎng)絡(luò)的一個實體,當(dāng)其需要接入網(wǎng)絡(luò)時,由位于該內(nèi)部網(wǎng)絡(luò)的認證設(shè)備系統(tǒng)對其進行接入認證?蛻舳讼到y(tǒng)一般為用戶終端設(shè)備,用戶需要在其終端上安裝支持EAPOL(Extensible Authentication Protocol Over LAN,基于局域網(wǎng)的擴展認證協(xié)議)協(xié)議的軟件,進行802.1X認證。
(2)認證設(shè)備系統(tǒng)是用于對所連接的客戶端系統(tǒng)安全認證的另一實體,也位于內(nèi)部網(wǎng)絡(luò)。認證設(shè)備系統(tǒng)為客戶端系統(tǒng)提供內(nèi)網(wǎng)認證接入端口,可以是邏輯端口,也可以是物理端口,認證設(shè)備系統(tǒng)一般為支持802.1X 協(xié)議的網(wǎng)絡(luò)設(shè)備。
(3)認證服務(wù)器系統(tǒng)是為認證設(shè)備系統(tǒng)提供認證服務(wù)的實體,認證服務(wù)器系統(tǒng)一般為RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務(wù))服務(wù)器,用于實現(xiàn)接入網(wǎng)絡(luò)用戶的認證、授權(quán)和計費,認證服務(wù)器存儲了用戶接入網(wǎng)絡(luò)的關(guān)鍵信息,一般包含用戶的上網(wǎng)賬號、上網(wǎng)密碼、接入用戶所在的虛擬局域網(wǎng)、服務(wù)優(yōu)先級、訪問控制列表等信息。
1.2 802.1X 的工作機制
802.1X 認證系統(tǒng)在客戶端系統(tǒng)和認證服務(wù)器系統(tǒng)之間交換認證信息,主要用到EAP(Extensible Authentication Protocol,擴展認證協(xié)議) 協(xié)議。在客戶端系統(tǒng)PAE(Port Access Entity,端口訪問實體)與認證設(shè)備系統(tǒng)端口訪問實體之間,如果是局域網(wǎng)環(huán)境,則擴展認證協(xié)議報文使用基于局域網(wǎng)的EAPOL 封裝格式,直接承載于局域網(wǎng)環(huán)境當(dāng)中。
圖2 為802.1X 認證系統(tǒng)的工作機制。
(1)在認證設(shè)備系統(tǒng)端口訪問實體與RADIUS 服務(wù)器之間,擴展認證協(xié)議報文既可以使用EAPOR(EAP Over RADIUS, 基于RADIUS 的擴展認證協(xié)議)封裝格式,承載于RADIUS協(xié)議中;也可以由設(shè)備端端口訪問實體終結(jié),轉(zhuǎn)而在設(shè)備端端口訪問實體與RADIUS 服務(wù)器之間傳送其它協(xié)議,如PAP協(xié)議報文或CHAP 協(xié)議報文。
(2)當(dāng)用戶發(fā)送認證消息后,接收來自認證服務(wù)器的消息,同時接收用戶網(wǎng)絡(luò)權(quán)限相關(guān)信息,認證設(shè)備系統(tǒng)端口訪問實體根據(jù)RADIUS 服務(wù)器通過或未通過指示,控制端口的授權(quán)狀態(tài)。用戶可接入網(wǎng)絡(luò),說明已經(jīng)通過網(wǎng)絡(luò)安全認證,端口由非授權(quán)轉(zhuǎn)變?yōu)槭跈?quán)狀態(tài);用戶無法接入網(wǎng)絡(luò),則會有返回信息提示沒有通過認證,這時受控端口狀態(tài)不變,仍然為非授權(quán)狀態(tài)。
2、應(yīng)用實例
某設(shè)計院設(shè)有8 個職能管理部門,8 個工程設(shè)計研究所和1 個工程咨詢分公司,設(shè)計院原有網(wǎng)絡(luò)設(shè)計為內(nèi)網(wǎng)終端通過代理服務(wù)器對IP 地址進行認證,認證通過后授權(quán)接入Internet,這樣的網(wǎng)絡(luò)設(shè)計只能控制終端能否訪問Internet,無法對控制終端能否接入內(nèi)部網(wǎng)絡(luò)。外來用戶只要知道IP 地址,就可以隨意接入內(nèi)部網(wǎng)絡(luò),造成內(nèi)部機密文件外泄。
2.1 需求分析
針對存在的安全問題,該設(shè)計院對新的網(wǎng)絡(luò)建設(shè)提出了以下幾點需求:
(1)方便易用,部署靈活,配置簡單;
(2)能對終端接入控制功能,不同用戶不同權(quán)限,保障企業(yè)內(nèi)網(wǎng)安全;
(3)能夠?qū)K端用戶身份合法性認證檢查,阻斷非法用戶訪問內(nèi)部網(wǎng)絡(luò);
(4)能夠檢查終端的安全性,隔離并修復(fù)不安全終端,保障內(nèi)部網(wǎng)絡(luò)免受病毒侵害;
(5)能夠?qū)?nèi)部制定的安全策略強制執(zhí)行,加強信息安全管理;
(6)能對用戶行為監(jiān)控和審計,防止信息泄密;
(7)能對交換機、路由器、防火墻等網(wǎng)絡(luò)設(shè)備進行統(tǒng)一管理。
2.2 網(wǎng)絡(luò)拓撲
針對該設(shè)計研究院的以上需求,以優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),提升網(wǎng)絡(luò)性能為目的,設(shè)計網(wǎng)絡(luò)拓撲結(jié)構(gòu)如圖3 所示。整體采用星型拓撲結(jié)構(gòu),以辦公樓五樓機房為網(wǎng)絡(luò)中心,配置核心交換機1 臺,匯聚交換機3 臺,每層樓配置接入交換機2 臺。兩臺服務(wù)器直接接入核心交換機,分別是防病毒管理服務(wù)器和網(wǎng)絡(luò)智能管理平臺服務(wù)器,網(wǎng)絡(luò)智能管理平臺服務(wù)器主要作用是用戶的接入認證管理。防火墻配置DMZ 區(qū)域放置Web 服務(wù)器提供對外網(wǎng)的Web 訪問服務(wù)。
2.3 終端安全系統(tǒng)的部署
終端安全系統(tǒng)對接入內(nèi)部網(wǎng)絡(luò)用戶的終端設(shè)備,實施安全檢查后的網(wǎng)絡(luò)準入策略,通過安裝在用戶終端上的客戶端軟件、服務(wù)器端的安全策略組件、網(wǎng)絡(luò)層面的網(wǎng)絡(luò)接入設(shè)備以及和第三方軟件的互動,多方面入手,嚴格控制用戶使用的網(wǎng)絡(luò)的權(quán)限,從而達到加強用戶終端主動防御能力,保護內(nèi)部網(wǎng)絡(luò)安全的目的。
系統(tǒng)包含兩臺服務(wù)器,分別安裝智能管理中心服務(wù)器和防病毒服務(wù)器,用戶終端強制安裝802.1X 安全客戶端。對接入交換機配置802.1X 認證協(xié)議,配合智能管理中心服務(wù)器完成聯(lián)動,完成身份認證后,由服務(wù)器根據(jù)不同用戶權(quán)限動態(tài)下發(fā)訪問控制列表。
智能管理中心服務(wù)器在用戶終端通過檢查最新病毒庫、檢查最新漏洞補丁等安全掃描后,根據(jù)用戶角色擁有的不同網(wǎng)絡(luò)訪問權(quán)限定義不同的安全策略,將對應(yīng)的網(wǎng)絡(luò)訪問控制列表下發(fā)給網(wǎng)絡(luò)接入設(shè)備,按照角色權(quán)限規(guī)范用戶的網(wǎng)絡(luò)使用行為,嚴格控制網(wǎng)絡(luò)接入。用戶的所屬虛擬局域網(wǎng)、訪問控制列表等安全措施均可由網(wǎng)絡(luò)管理員在服務(wù)器上操作,即使底層接入設(shè)備不支持802.1X 協(xié)議,只要上層設(shè)備支持,也能做到根據(jù)不同的用戶執(zhí)行不同的控制。
3、 結(jié)束語
隨著企業(yè)管理的深入,特別是企業(yè)內(nèi)部網(wǎng)絡(luò)管理的深入,內(nèi)網(wǎng)的安全性已經(jīng)是一個刻不容緩的問題。802.1X 認證協(xié)議可以比較好地解決現(xiàn)階段的企業(yè)內(nèi)部網(wǎng)絡(luò)所面臨的身份認證和應(yīng)用終端的安全性問題。但要深刻地理解到要構(gòu)建一個真正的安全可靠的網(wǎng)絡(luò)環(huán)境僅僅依靠802.1X 這一項技術(shù)是不夠的,只有將技術(shù)與管理相結(jié)合才能從根本上解決問題。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:中小企業(yè)內(nèi)網(wǎng)安全管理的研究與實現(xiàn)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839412790.html